В апрельском дайджесте мы выделили пять трендовых уязвимостей.Это уязвимости, которые активно используются в атаках или с высокой вероятностью будут использоваться злоумышленниками в ближайшее время.
Четыре уязвимости из пяти присутствуют в продуктах Microsoft. Среди них есть две, которые могут использоваться в фишинговых атаках: CVE-2023-35628 — на пользователей Outlook и CVE-2024-29988 — на пользователей Windows. Третья, CVE-2024-26234, связана с использованием вредоносного программного обеспечения, подписанного с помощью действительного сертификата Microsoft; четвертая дает авторизованным пользователям возможность повышения привилегий до уровня SYSTEM (то есть до максимальных) в операционной системе Windows.
Пятая уязвимость из дайджеста относится к продуктам вендора Palo Alto Networks — это уязвимость, приводящая к удаленному выполнению команд в операционной системе PAN-OS.
Подробнее про все уязвимости, случаи их эксплуатации и способы устранения читайте в дайджесте.
Подробнее об этих уязвимостях
-
Уязвимость, связанная с подменой драйвера прокси-сервера в Windows
CVE-2024-26234 (оценка по CVSS — 6,7, средний уровень опасности)
Компания Sophos опубликовала исследование зловредного ПО со встроенным прокси-сервером, которое имело действительный сертификат Microsoft Hardware Publisher. Также известно, что ранее файл с программой можно было скачать в комплекте с маркетинговым ПО LaiXi Android Screen Mirroring. Microsoft добавила вредоносную программу в список отзыва Windows Driver.STL revocation list. Таким образом уязвимостью по сути является необновленный список отзыва, упрощающий запуск вредоносного ПО. Наличие работающего прокси-сервера на устройстве жертвы позволяет потенциальному злоумышленнику «прослушивать» сетевой трафик в системе.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Количество потенциальных жертв: все пользователи Windows (в том числе и Windows Server), которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
-
Уязвимость, приводящая к удаленному выполнению кода в продукте MSHTMLMSHTML (Microsoft HTML, или Trident) — это разработанный Microsoft движок для обработки и отображения HTML-страниц в браузерах, приложениях и других средах под управлением операционной системы Windows. В числе прочего он используется в Microsoft Outlook. (актуальна для пользователей Outlook)
CVE-2023-35628 (оценка по CVSS — 8,1, высокий уровень опасности)
Эксплуатация уязвимости позволяет злоумышленнику добиться удаленного выполнения произвольного кода в системе жертвы. Для этого не требуется взаимодействия с пользователем: злоумышленнику достаточно отправить специально созданное вредоносное письмо, причем жертве даже не нужно его открывать, — так работает zero-click-эксплойт.
Исследователи безопасности из Akamai, поставщика услуг для акселерации веб-сайтов, нашли способ, как взаимодействовать с памятью в системе, предоставляя ей вредоносные фрагменты. Такие действия дают злоумышленнику возможность удаленно выполнить код. В качестве доказательства концепции (PoC) Akamai представили эксплойт, который вызывает аварийное завершение работы File Explorer.
Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации.
Количество потенциальных жертв: все пользователи Windows, которые не скачали обновления безопасности.
Публично доступные эксплойты: есть доказательство концепции.
-
Уязвимость, приводящая к повышению привилегий в сервисе Print SpoolerPrint Spooler — программное обеспечение, которое управляет процессами печати.
CVE-2022-38028 (оценка по CVSS — 7,8, высокий уровень опасности)
Эксплуатация уязвимости в операционной системе Windows позволяет авторизованному злоумышленнику повысить привилегии до уровня SYSTEM (максимальных в операционной системе), изменив файл ограничений JavaScript в сервисе Print Spooler и исполнив его с повышенными привилегиями.
По данным Microsoft, эта уязвимость эксплуатируется вредоносной хакерской утилитой GooseEgg. GooseEgg позволяет запускать другие приложения из командной строки с повышенными привилегиями. Такая функциональность может использоваться для внедрения бэкдоровБэкдор — программа для доступа к компьютеру, серверу или другому устройству путем обхода аутентификации. или перемещения внутри периметра.
Признаки эксплуатации: Microsoft отмечает факты эксплуатации уязвимости.
Количество потенциальных жертв: : все пользователи Windows, которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
-
Уязвимость, позволяющая обойти фильтр SmartScreenФильтр SmartScreen в Microsoft Defender — это система, которая предупреждает пользователей о вредоносных веб-сайтах и приложениях, а также о скачивании потенциально опасных файлов.
CVE-2024-29988 (оценка по CVSS — 8,8, высокий уровень опасности)
Это уязвимость нулевого дня, которая тоже была исправлена в Microsoft Patch Tuesday. Для эксплуатации требуется взаимодействие с пользователем. Windows Defender SmartScreen не предупреждает жертву о вредоносном файле, с которым она взаимодействует, из-за возможности обхода Mark of the Web (MoTW)Mark of the Web (MoTW) — это специальный тег, который добавляется к файлам, загруженным из интернета или находящимся на съемных носителях. MoTW помогает Windows определить, что файл был загружен из интернета, и применить к нему дополнительные меры безопасности. Например, файлы с MoTW могут быть запущены в защищенном режиме для предотвращения возможной угрозы безопасности.. Уязвимость очень тесно связана с CVE-2024-21412 и имеет аналогичный способ эксплуатации (обход MoTW и, как следствие, SmartScreen) — об этой бреши мы писали в дайджесте трендовых уязвимостей февраля.
Руководитель отдела осведомленности об угрозах Zero Day Initiative (ZDI)Программа поиска и раскрытия уязвимостей, созданная компанией Trend Micro - Дастин Чайлдс отметил, что эта уязвимость используется в следующем сценарии: злоумышленники упаковывают эксплойт в архив для обхода обнаружения со стороны EDR- или NDR-решений, а далее эта уязвимость помогает обойти и MoTW. Часто в роли эксплойта может выступать бэкдор.
Признаки эксплуатации: Microsoft не отмечает фактов эксплуатации, однако в ZDI фиксировали обратное.
Количество потенциальных жертв: : все пользователи Windows, которые не скачали обновления безопасности.
Публично доступные эксплойты: нет в открытом доступе.
Уязвимости в продуктах Microsoft
Способы устранения, компенсирующие меры: обновления безопасности можно скачать на официальных страницах Microsoft, посвященных соотвествующим уязвимостям: CVE-2024-26234, CVE-2023-35628, CVE-2022-38028, CVE-2024-29988.
Уязвимость в продукте Palo Alto Networks
-
Уязвимость, связанная с удаленным выполнением команд
CVE-2024-3400 (оценка по CVSS — 10,0, критический уровень опасности)
Уязвимость позволяет выполнять нелегитимные действия со стороны неавторизованного в системе злоумышленника. Проблема связана с возможностью создавать пустые файлы с любым именем и в любом месте на сервере от имени суперпользователя. Уязвимым параметром выступает заголовок Cookie в HTTP-запросе, хранящий идентификатор сессии пользователя. Затем атакующий использует уязвимость одного из сервисов для выполнения команд системы через параметр имени файлов, находящихся в определенных папках.
Злоумышленник указывает в HTTP-запросе заголовок Cookie следующего вида:
Cookie: SESSID=./путь_к_папке_которую_использует_уязвимый_сервис/aaa`command`В результате создается файл, сервис переходит в папку и выполняет команду (command), которая содержится в имени файла aaa. В результате злоумышленник может прочитать файлы в системе и выполнить вредоносный код.Информация взята из исследования Rapid7.
Признаки эксплуатации: есть признаки активной эксплуатации.
Количество потенциальных жертв: по данным Shadowserver, в сети работает более 149 тысяч уязвимых устройств.
Публично доступные эксплойты: есть в публичном доступе.
Способы устранения, компенсирующие меры: следует выполнить обновление системы PAN-OS в соответствии с официальными рекомендациями Palo Alto Networks.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о трендовых уязвимостях поступает в течение 12 часов. Это позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании.
В дайджесте приведены примеры уязвимостей, которые активно эксплуатируются в последнее время. Информация о них и о публично доступных эксплойтах представлена по состоянию на 30 апреля 2024 года.